개인정보보호 법규 위반행위에 대한 시정조치에 관한 건

결정문 요약

주문

1. 피심인에 대하여 다음과 같이 과징금과 과태료를 부과한다. 가. 과 징 금 : 원 나. 과 태 료 : 원 다. 납부기한 : 고지서에 명시된 납부기한 이내 라. 납부장소 : 한국은행 국고수납 대리점 2. 피심인에 대한 과태료 부과의 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다.

이유

Ⅰ. 기초 사실 서비스 등을 제공하는 피심인은 「개인정보 보호법」(2020. 8. 5. 시행, 법률 제16930호, 이하 '보호법’이라 한다.)에 따른 정보통신서비스 제공자이며 피심인의 일반현황은 다음과 같다. <img src="/LSW/flDownload.do?flSeq=150214515" alt="1번째 이미지"></img> Ⅱ. 사실조사 결과 1. 조사 배경 개인정보보호위원회는 개인정보 포털(privacy.go.kr)에 유출 신고( )한 피심인에 대하여 개인정보 취급ㆍ운영 실태 및 보호법 위반 여부를 조사( )하였으며, 다음과 같은 사실을 확인하였다. 2. 행위 사실 가. 개인정보 수집현황 피심인은 를 운영하면서 기준으로 이용자 명의 개인정보를 수집하여 보관하고 있다. <img src="/LSW/flDownload.do?flSeq=150214519" alt="2번째 이미지"></img> 나. 개인정보 유출 경위 1) 유출 경과 및 대응 <img src="/LSW/flDownload.do?flSeq=150214521" alt="3번째 이미지"></img> 2) 유출규모 및 경위 (유출항목 및 규모) 이용자 명의 이름ㆍ휴대전화번호 (유출 경위) 피심인의 관리자 페이지의 로그인 인증방식을 변경하면서 개발자의 실수로 시스템 설정 오류*가 발생하여 비정상적인 접근이 허용되어 검색엔진에 관리자 페이지의 주소(URL)가 검색가능한 상태로 노출됨 * 외부에서 관리자페이지를 모바일로 확인하기 위해 로그인 방식을 변경(세션인증→쿠키인증)했는데, 모바일 버전의 관리자 페이지에서 변경할 쿠키 값이 누락되어 모든 이용자에게 접근이 허용됨 3. 개인정보의 취급ㆍ운영 관련 사실관계 가. 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위 피심인은 정보통신망을 통해 외부에서 관리자 페이지 등 개인정보처리시스템 접속 시 아이디ㆍ비밀번호 외 추가로 안전한 인증수단을 적용하지 않았고, 관리자 페이지의 로그인 인증방식을 변경하는 과정에서 변경할 쿠키값을 누락시켜 관리자 페이지에 비정상적인 접근을 허용하여 이용자의 개인정보가 유출되도록 한 사실이 있다. 또한, 피심인은 동안 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 관리자 페이지의 접속기록*을 보존ㆍ관리하지 않고, 월 1회 이상 정기적으로 확인ㆍ감독하지 않은 사실이 있다. * 나. 개인정보 유출 신고ㆍ통지를 소홀히 한 행위

피심인은 부터 노출된 관리자 페이지 접속화면 및 유출 규모 등 관련 내용을 수신받아 유출사실을 인지했음에도 정당한 사유 없이 유출 신고 및 이용자에게 유출 통지한 사실이 있다. 4. 처분의 사전통지 및 의견 수렴 개인정보보호위원회는 ’23. 1. 26. 피심인에게 예정된 처분에 대한 사전통지서를 송부하고 이에 대한 의견을 요청하였으며, 피심인은 ’23. 2. 10. 개인정보보호위원회에 의견을 제출하였다. Ⅲ. 위법성 판단 1. 관련법 규정 가. 보호법 제29조는 “개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.”라고 규정하고 있다. 같은 법 시행령 제48조의2제1항제2호는 “개인정보에 대한 불법적인 접근을 차단하기 위해 '개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 ”개인정보처리시스템“이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수집ㆍ시행(가목)’, '그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치(마목)’ 등의 조치를 하여야 한다.”라고 규정하고 있으며, 같은 법 시행령 제48조의2제1항제3호는 ”접속기록의 위조ㆍ변조 방지를 위한 '개인정보취급자가 개인정보 처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인ㆍ감독(가목)’, '개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관(나목)’의 조치를 하여야 한다.“라고 규정하고 있다. 같은 법 시행령 제48조의2제3항은 “제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.”라고 규정하고 있다.

같은 법 시행령 제48조의2제3항에 따라 위 기준 수립ㆍ시행의 내용을 구체적으로 정하고 있는 「개인정보의 기술적ㆍ관리적 보호조치 기준」(개인정보보호위원회 고시 제2020-5호, 이하 '고시’) 제4조제4항은 “정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.”라고 규정하고 있고, 고시 제4조제9항은 “정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.”라고 규정하고 있으며, 고시 제5조제1항은 “정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인ㆍ감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존ㆍ관리하여야 한다.”라고 규정하고 있다. 나. 보호법 제39조의4제1항은 “정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ유출(이하 “유출등”이라 한다) 사실을 안 때에는 지체 없이 유출등이 된 개인정보 항목(제1호), 유출등이 발생한 시점(제2호), 이용자가 취할 수 있는 조치(제3호), 정보통신서비스 제공자등의 대응 조치(제4호), 이용자가 상담 등을 접수할 수 있는 부서 및 연락처(제5호)를 해당 이용자에게 알리고 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.”라고 규정하고 있다.

같은 법 시행령 제48조의4제2항은 “정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ유출의 사실을 안 때에는 지체 없이 법 제39조의4제1항 각 호의 모든 사항을 서면등의 방법으로 이용자에게 알리고 보호위원회 또는 한국인터넷진흥원에 신고해야 한다.”라고 규정하고 있으며, 제3항은 “정보통신서비스 제공자등은 제2항에 따른 통지ㆍ신고를 하려는 경우에는 법 제39조의4제1항제1호 또는 제2호의 사항에 관한 구체적인 내용이 확인되지 않았으면 그때까지 확인된 내용과 같은 항 제3호부터 제5호까지의 사항을 우선 통지ㆍ신고한 후 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지ㆍ신고하여야 한다.”라고 규정하고 있고, '개인정보보호위원회 표준 개인정보 보호지침’(개인정보보호위원회 고시 제2020-1호, 2020. 8. 11., 제정) 제25조(개인정보의 유출)에 따르면 개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 ▲개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우(제1호), ▲개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우(제2호), ▲개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우(제3호), ▲기타 권한이 없는 자에게 개인정보가 전달된 경우(제4호)로 규정하고 있다. 2. 위법성 판단 가. 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위 [보호법 제29조(안전조치의무)] 피심인은 외부에서 관리자 페이지 등 개인정보 처리시스템에 접속 시 안전한 인증수단을 적용하지 않았고, 관리자 페이지 로그인 인증방식을 변경하는 과정에서 변경할 쿠키값을 누락하는 등 접근통제 조치를 소홀히 하여 정상적인 권한이 없는 자가 접근하여 이용자의 개인정보가 외부에 유출되도록 한 행위는 보호법 제29조, 같은 법 시행령 제48조의2제1항제2호, 고시 제4조제4항 및 제9항을 위반한 것이다. 피심인은 개인정보 처리시스템의 이상 유무 확인 등을 위해 최소 1년 이상 접속기록을 보존ㆍ관리하지 않고, 월 1회 이상 정기적으로 확인ㆍ감독하지 않은 행위 보호법 제29조, 같은 법 시행령 제48조의2제1항제3호, 고시 제5조제1항을 위반한 것이다.

나. 개인정보 유출 신고ㆍ통지를 소홀히 한 행위 [보호법 제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례)제1항] 피심인이 정당한 사유 없이 유출 사실을 안 때부터 24시간을 경과하여 유출 신고ㆍ통지한 행위는 보호법 제39조의4제1항을 위반한 것이다. <img src="/LSW/flDownload.do?flSeq=150214523" alt="4번째 이미지"></img> Ⅳ. 처분 및 결정 1. 과징금 부과 피심인의 보호법 제29조 위반에 대한 과징금은 같은 법 제39조의15제1항제5호, 같은 법 시행령 제48조의11제1항과 제4항, [별표 1의5] (과징금의 산정기준과 산정절차) 및 '개인정보보호 법규 위반에 대한 과징금 부과기준(이하 ’과징금 부과기준'이라 한다)’에 따라 다음과 같이 부과한다. 가. 과징금 상한액 피심인의 보호법 제29항 위반에 대한 과징금 상한액은 같은 법 제39조의15, 같은 법 시행령 제48조의11에 따라 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도 연평균 매출액의 100분의 3 이하에 해당하는 금액으로 한다. 나. 기준금액 1) 고의ㆍ중과실 여부 과징금 부과기준 제5조제1항은, 보호법 시행령 [별표 1의5] 2. 가. 1)에 따른 위반행위의 중대성의 판단기준 중 고의ㆍ중과실 여부는 영리목적의 유무, 같은 법 시행령 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단하도록 규정하고 있다. 이에 따를 때, 보호법 제29조의 안전조치의무를 소홀히 한 피심인에게 이용자 개인정보 유출에 대한 중과실이 있다고 판단한다. 2) 중대성의 판단 과징금 부과기준 제5조제3항은, 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 있으면 위반행위의 중대성을 '매우 중대한 위반행위’로 판단하도록 규정하고 있다. 다만, 과징금 부과기준 제5조제3항 단서에서 위반행위의 결과가 ▲위반 정보통신서비스 제공자등이 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우(제1호), ▲위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 개인정보의 100분의 5 이내인 경우(제2호), ▲이용자의 개인정보가 공중에 노출되지 않은 경우(제3호) 중 모두에 해당하는 경우 '보통 위반행위’로, 1개 이상 2개 이하에 해당하는 경우 '중대한 위반행위’로 감경하도록 규정하고 있다.

피심인의 경우 위반행위로 인해 직접적으로 이득을 취하지 않은 경우에 해당하여 '중대한 위반행위’로 감경한다. 3) 기준금액 산출 피심인의 서비스를 통해 발생한 매출을 위반행위 관련 매출로 하고, 직전 3개 사업년도의 연평균 매출액 천원에 보호법 시행령 [별표 1의5] 2. 가. 1)에 따른 '중대한 위반행위’의 부과기준율 1천분의 21을 적용하여 기준금액을 천원으로 한다. < 피심인의 위반행위 관련 매출액 > (단위 : 천원) <img src="/LSW/flDownload.do?flSeq=150214525" alt="5번째 이미지"></img> * 사업자가 제출한 재무제표 등 회계자료를 토대로 작성 <보호법 시행령 [별표 1의5] 2. 가. 1)에 따른 부과기준율> <img src="/LSW/flDownload.do?flSeq=150214527" alt="6번째 이미지"></img> 다. 필수적 가중 및 감경 과징금 부과기준 제6조와 제7조에 따라 피심인의 위반행위 기간이 1년 이내로 '단기 위반행위’에 해당하므로 기준금액을 유지하고, 최근 3년 이내 보호법 제39조의15제1항 각 호에 해당하는 행위로 과징금 처분을 받은 사실이 없으므로, 기준금액의 100분의 50에 해당하는 금액인 천원을 감경한다. 라. 추가적 가중 및 감경 과징금 부과기준 제8조는 사업자의 위반행위의 주도 여부, 조사 협력 여부 등을 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위 내에서 가중ㆍ감경할 수 있다고 규정하고 있다. 이에 따를 때, 피심인이 ▲조사에 적극 협력한 점, ▲개인정보 유출사실을 자진 신고한 점 등을 종합적으로 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 20에 해당하는 천원을 감경한다. 마. 과징금의 결정 피심인의 보호법 제29조(안전조치의무) 위반행위에 대한 과징금은 같은 법 제39조의15제1항제5호, 같은 법 시행령 제48조의11, [별표 1의5] 2. 가. 1)(과징금의 산정기준과 산정절차) 및 과징금 부과기준에 따라 위와 같이 단계별로 산출한 금액인 천원을 최종 과징금으로 결정한다. <과징금 산출내역> <img src="/LSW/flDownload.do?flSeq=150214529" alt="7번째 이미지"></img> 2. 과태료 부과

피심인의 보호법 제29조(안전조치의무), 제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례)제1항 위반행위에 대한 과태료는 같은 법 제75조제2항제6호ㆍ제12호의3, 같은 법 시행령 제63조, 같은 법 시행령 [별표2] '과태료의 부과기준’ 및 '개인정보 보호법 위반에 대한 과태료 부과기준’(이하 '과태료 부과지침’)에 따라 다음과 같이 부과한다. 가. 기준금액 보호법 시행령 제63조의 [별표2]는 최근 3년간 같은 위반행위를 한 경우 위반 횟수에 따라 기준금액을 규정하고 있고, 피심인은 최근 3년간 같은 위반행위로 과태료 처분을 받은 사실이 있으므로* 보호법 제29조 위반행위에 대해 기준 금액을 2회 위반에 해당하는 1,200만원으로 산정하고, 보호법 제39조의4제1항 위반행위에 대해서는 최근 3년간 같은 위반행위로 과태료 처분을 받은 사실이 없으므로 기준 금액을 600만원으로 산정한다. * ' < 보호법 시행령 [별표2] 2. 개별기준 > <img src="/LSW/flDownload.do?flSeq=150214531" alt="8번째 이미지"></img> 나. 과태료의 가중 및 감경 1) 과태료의 가중 과태료 부과지침 제8조는 ’사전통지 및 의견제출 결과와 당사자의 위반행위의 정도, 위반행위의 동기와 그 결과 등을 고려하여 [별표2]의 가중기준(▲조사방해, ▲위반의 정도, ▲위반기간, ▲기타 위반행위의 정도와 동기, 사업규모, 그 결과 등을 고려하여 가중할 필요가 있다고 인정되는 경우)에 따라 기준금액의 100분의 50의 범위 이내에서 가중할 수 있다'라고 규정하고 있다. 피심인의 경우, 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위는 과태료 부과지침 제8조 및 [별표2] 과태료의 가중기준에 따라, '법 위반행위의 상태가 3개월 이상인 경우’ 및 '제3호 위반행위별 각 목의 세부기준에서 정한 행위가 2개 이상에 해당하는 경우’에 해당하여 기준금액의 20%를 가중하고, 유출 신고ㆍ통지를 소홀히 한 행위는 '제3호 위반행위별 각 목의 세부기준에서 정한 행위가 2개 이상에 해당하는 경우’에 해당하여 기준금액의 10%를 가중한다. 2) 과태료의 감경

과태료 부과지침 제7조는 '사전통지 및 의견제출 결과와 당사자의 위반행위 정도, 위반행위의 동기와 그 결과 등을 고려하여 [별표1]의 감경기준(▲당사자 환경, ▲위반정도, ▲조사협조 및 자진시정 등, ▲개인정보보호 노력정도, ▲사업규모, ▲기타 위반행위의 정도와 동기, 사업 규모, 그 결과 등을 고려하여 감경할 필요가 있다고 인정되는 경우)에 따라 기준금액의 100분의 50의 범위 이내에서 감경할 수 있다.’라고 규정하고 있다. 피심인의 경우, 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위는 과태료 부과지침 제7조 및 [별표1] 과태료의 감경기준에 따라, '위반행위에 대해 시정을 완료한 경우’, '조사에 적극 협력한 경우’에 해당하여 기준금액의 50%를 감경하고, 유출 신고ㆍ통지를 소홀히 한 행위는 '위반행위에 대해 시정을 완료한 경우’, '조사에 적극 협력한 경우’에 해당하여 기준금액의 50%를 감경한다. 다. 최종 과태료 피심인의 보호법 제29조 및 같은 법 제39조의4제1항을 위반한 행위에 대해 기준금액에서 가중ㆍ감경을 거쳐 총 만원의 과태료를 부과한다. <img src="/LSW/flDownload.do?flSeq=150214533" alt="9번째 이미지"></img> 3. 결과 공표 보호법 제66조제1항 및 '개인정보보호위원회 처분결과 공표기준’(2020. 11. 18. 개인정보보호위원회 의결) 제2조(공표요건)에 따르면 피심인의 위반행위는 '보호법 제75조제2항 각 호에 해당하는 위반행위를 2개 이상 한 경우(제4호)’ 및 '위반행위 시점을 기준으로 위반상태가 6개월 이상 지속된 경우(제5호)’에 해당하므로 피심인에 대한 과태료 부과 사실에 대해 개인정보보호위원회 홈페이지에 공표한다. <img src="/LSW/flDownload.do?flSeq=150214517" alt="10번째 이미지"></img> Ⅴ. 결론 피심인의 보호법 제29조(안전조치의무) 및 같은 법 제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례)제1항을 위반한 행위에 대하여 같은 법 제39조의15(과징금의 부과 등에 대한 특례)제1항제5호, 제75조(과태료)제2항제6호ㆍ제12호의3, 같은 법 제66조(결과의 공표)제1항에 따라 과징금 부과, 과태료 부과, 결과 공표를 주문과 같이 의결한다.

결정요지

안건번호 : 제2023-005-047호 안건명 : 개인정보보호 법규 위반행위에 대한 시정조치에 관한 건 신청인 : (사업자등록번호 : )대표자 의결연월일 : 2023. 3. 22.